Жүйелік трафикті талдау және ұсталған пакеттер туралы ақпаратты анықтауға арналған қолданбалы бағдарламаны зерттеу

Зертханалық жұмыс №5

«Жүйелік трафикті талдау және ұсталған пакеттер туралы ақпаратты анықтауға арналған қолданбалы бағдарламаны зерттеу»

Жұмыстың мақсаты:

1. Желілік трафикті талдау принциптерін білу.
2. Желілік анализаторды қолдануды үйрену (сниффер Wireshark).
3. ARP, IP және ICMP хаттамалары мысалында желілік трафикті талдауды үйреніңіз.

Тапсырма: Жүйелік трафикті талдау және ұсталған пакеттер туралы ақпаратты анықтауға арналған Сниффер Wireshark қолданбалы бағдарламаны зерттеу

Sniffer (от англ. to sniff – нюхать) – бұл желілік трафик анализаторы, бағдарлама немесе бағдарламалық жасақтама және аппараттық құрал, оны ұстап алуға және одан әрі талдауға немесе басқа түйіндерге арналған желілік трафикті талдауға арналған.

Трафикті ұстап қалу мүмкін:

* желілік интерфейсті әдеттегі "тыңдау" (әдіс коммутаторлардың (шошқалардың) орнына хабтар (хабтар) сегментінде қолданған кезде тиімді, әйтпесе әдіс тиімсіз, өйткені тек жеке жақтаулар снифферге түседі);

* снифферді арна үзілісіне қосу арқылы;

* трафиктің тармақталуымен (бағдарламалық немесе аппараттық) және оның көшірмесін снифферге Жолдаумен;

* жанама электромагниттік сәулеленуді талдау және осылайша тыңдайтын трафикті қалпына келтіру арқылы;

* арна (2-ші) немесе желі (3-ші) деңгейіндегі шабуыл арқылы жәбірленушінің трафигін немесе сегменттің барлық трафигін снифферге қайта бағыттауға, содан кейін трафикті тиісті мекен-жайға қайтаруға әкеледі.

1990 жылдардың басында хакерлер қолданушы логиндері мен парольдерін түсіру үшін кеңінен қолданылды. Хабтардың кең таралуы желінің үлкен сегменттерінде трафикті көп күш жұмсамай алуға мүмкіндік берді.

Сниферлер жақсы және деструктивті мақсаттарда қолданылады. Сниффер арқылы өткен трафикті талдау:

• Қосымшалардың желілік белсенділігін бақылау.
• Желілік қосымшалардың хаттамаларын жөндеу.
• Ақаулықты немесе конфигурация қатесін локализациялау.
• Желілік жабдықтар мен байланыс арналарының жүктемесін арттыратын паразиттік, вирустық және сақиналы трафикті анықтаңыз.
• Желіде зиянды және рұқсат етілмеген БҚ-ны анықтау, мысалы, желілік сканерлер, флудерлер, трояндық бағдарламалар, пирингтік желілердің клиенттері және басқалар.
• Парольдер мен басқа ақпаратты тану үшін кез-келген шифрланбаған (кейде шифрланған) пайдаланушы трафигін ұстап алыңыз.

Біртіндеп, тек диагноз қоюға арналған құралдардан бастап, сниферлер біртіндеп зерттеу және оқыту құралдарына айналды. Мысалы, Олар үнемі желідегі динамика мен өзара әрекеттесуді зерттеу үшін қолданылады. Атап айтқанда, олар желілік хаттамалардың нәзіктіктерін оңай және нақты зерттеуге мүмкіндік береді. Хаттама жіберетін деректерді қарап отырып, сіз оның іс жүзінде қалай жұмыс істейтінін тереңірек түсінуге болады, сонымен бірге кейбір нақты іске асыру спецификацияға сәйкес жұмыс істемейтінін көре аласыз.

Бүгінгі таңда снифферлердің жақсы саны өте көп. Біраз соның ішінде:

• Tcpdump (http://www.tcpdump.org /) - сниффердің консольдік нұсқасы. Барлық ең көп таралған ОС-ға дерлік тасымалданды;
• Wireshark (http://www.wireshark.org /) осы уақытқа дейін ол эфирлік деген атпен белгілі болды;
• Жел сорғысы http://www.winpcap.org/windump;
• IP мекенжай анализаторы
• және т. б.

Сниффер Wireshark

Wireshark бағдарламасы-бұл снифферлердің ең ыңғайлы енгізілімдерінің бірі. Көптеген платформаларға тасымалданды. Ол мүлдем тегін таратылады. Бұл сниферді желілік хаттамаларды зерттеу және талдау үшін пайдалану мағынасы бар.

Бірақ алдымен біз Wireshark мысалында сниффердің негізгі жұмыс принципін қарастырамыз.

Снифферлердің негізгі жұмыс принципі

Сізбен күрішті қарастырайық. 1. Ол ОЖ желілік ішкі жүйесінің құрылымын схемалық түрде көрсетеді. Барлық негізгі Инфрақұрылым драйверлер түрінде жүзеге асырылады және ядро режимінде жұмыс істейді. Пайдаланушы процестері және қолданбалы хаттамалардың орындалуы, атап айтқанда, сниффер интерфейсі Пайдаланушы режимінде жұмыс істейді.